越來(lái)越多的組織轉(zhuǎn)向了軟件即服務(wù)(SaaS),把它做為解決企業(yè)需求的一種方法,而不必承擔(dān)管理和維護(hù)應(yīng)用的負(fù)擔(dān)。作為SaaS的用戶,你必須得到供應(yīng)商的保證,他們是否充分保護(hù)你財(cái)產(chǎn)中的數(shù)據(jù)。但是一旦涉及到使用本地應(yīng)用集成基于云的應(yīng)用時(shí),一致性和訪問(wèn)管理就是你的責(zé)任了。
集成SaaS和本地應(yīng)用不會(huì)改變安全實(shí)踐太多,隨著更廣泛的治理的產(chǎn)生。這成為了一個(gè)問(wèn)題“你怎樣建立一個(gè)規(guī)則,規(guī)定誰(shuí)可以使用云資源,以及怎樣使用,”Jason Bloomberg說(shuō),Dovel技術(shù)公司ZapThink的總裁。
“最初的考慮與身份管理有關(guān)。如果你有第三方的SaaS應(yīng)用,那么你就不會(huì)發(fā)現(xiàn)所有內(nèi)部用戶的身份和權(quán)限,”Bloomberg說(shuō)。例如,SaaS應(yīng)用可能提供了訪問(wèn)權(quán)限控制,但它們不控制組織內(nèi)部的使用權(quán)限。
另外,集成SaaS應(yīng)用和本應(yīng)用的組織冒著“暴露訪問(wèn)憑證,給惡意軟件提供訪問(wèn)本地資源的權(quán)限”的風(fēng)險(xiǎn),Scott Crawford說(shuō),他是企業(yè)管理協(xié)會(huì)(EntERPrise Management Associates)的管理研究主管。“你想要保護(hù)憑證不受那樣的利用。”
當(dāng)本地應(yīng)用需要與基于的應(yīng)用交互是,本地應(yīng)用就需要“告訴”基于云的應(yīng)用,用戶確實(shí)是得到正確的授權(quán)來(lái)做所有他或她想做的。這是通過(guò)授權(quán)標(biāo)記到云上的一件事,Bloomberg解釋說(shuō)。然而,這并不如聽(tīng)起來(lái)那么簡(jiǎn)單,因?yàn)樵撇荒芸偸抢斫庥脩羰褂玫氖跈?quán)方式。
“云供應(yīng)商對(duì)于用戶供給品的細(xì)粒度控制有不同的支持,因此可以給各種不同的功能建議權(quán)限。通常,一個(gè)SaaS供應(yīng)商給一個(gè)用戶只提供一個(gè)登錄,或允許你進(jìn)入他們的系統(tǒng)和提供用戶。它會(huì)根據(jù)內(nèi)部用戶的環(huán)境不同而設(shè)置不同。這變成了一項(xiàng)挑戰(zhàn)。你怎樣擴(kuò)展你的身份管理到云中?” Bloomberg說(shuō)。
在某些情況下,SaaS提供商可能提供功能使用企業(yè)身份訪問(wèn)他們的應(yīng)用程序。例如,SalesForce最近介紹的SalesForce Identity,它提供了一個(gè)單一可靠的身份,可以用于訪問(wèn)所有企業(yè)應(yīng)用。盡管如此,不是所有的SaaS供應(yīng)商都提供這一功能,而且責(zé)任在于用戶。
“從SaaS供應(yīng)商的角度來(lái)看,所見(jiàn)即所得,”Bloomberg說(shuō)。“面臨的挑戰(zhàn)是從根本上提供給內(nèi)部用戶產(chǎn)品用于使用第三方應(yīng)用,然后建立和加強(qiáng)規(guī)范,規(guī)定誰(shuí)可以使用那個(gè)應(yīng)用,并在本質(zhì)上聯(lián)合身份到云上,”他說(shuō)。
第三方解決方案就像來(lái)自于Okta和Symplified所提供給SaaS應(yīng)用的單點(diǎn)登錄服務(wù)一樣。這些聯(lián)合身份驗(yàn)證技術(shù)依賴于一個(gè)標(biāo)識(shí),代表成功識(shí)別個(gè)人與企業(yè)注冊(cè),并且把這個(gè)標(biāo)識(shí)傳遞給應(yīng)用程序,而不用暴露,Crawford解釋道。
聯(lián)合身份驗(yàn)證技術(shù)位于本地非軍事區(qū)(demilitarized zone),并管理著所有本地應(yīng)用向SaaS應(yīng)用的請(qǐng)求。“來(lái)自于本地的所有請(qǐng)求必須受到控制。而唯一的辦法就是通過(guò)這個(gè)備用的治理工具。該是治理工具來(lái)決定是否所有請(qǐng)求得到正確授權(quán),” Bloomberg說(shuō)。
這些聯(lián)合身份驗(yàn)證工具,也被稱為云治理工具,云治理應(yīng)用和身份管理即服務(wù),是單點(diǎn)登錄的產(chǎn)物?陀^說(shuō),用戶有單獨(dú)的用戶名和密碼對(duì)于他們的本地應(yīng)用程序。IT組織試圖在這些資源中充分利用單點(diǎn)登錄,并且已經(jīng)成功地以一個(gè)用戶名和登錄,使用Microsoft Active Directory來(lái)支持用戶訪問(wèn)微軟資源。同樣,聯(lián)合身份驗(yàn)證允許用戶登錄到一個(gè)Web應(yīng)用程序和進(jìn)行其它訪問(wèn)。“我們現(xiàn)在來(lái)看看,通過(guò)更加無(wú)縫給用戶受權(quán),來(lái)擴(kuò)展SaaS環(huán)境到一個(gè)更廣的功能上,” Crawford說(shuō)。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:SaaS應(yīng)用安全:風(fēng)險(xiǎn)與最佳實(shí)踐